Поиск доказательств совершения преступления на автоматизированном рабочем месте сотрудника ОВД

ГЛАВА 1. Расположение улик на автоматизированном рабочем месте и методы их нахождения 4
1.1 Где находятся улики в системах WINDOWS 4
1.2 Проведение расследования на WINDOWS OC 5
ГЛАВА 2. ОСНОВНЫЕ ЭТАПЫ РАССЛЕДОВАНИЯ НА WINDOWS OC 6
2.1 Просмотр всех соответствующих журналов 6
2.2 Выполнение поиска по ключевым словам 9
2.3 Просмотр соответствующих файлов 10
2.4 Отметки времени и даты происшествия 11
2.5 Удаленные файлы и данные 12
2.6 Восстановление файла резервной копии 16
2.7 Реестр 17
2.8 Файл подкачки 19
2.9 Неработающие ссылки 21
2.10 Файлы веб-браузера 22
2.11 Выявление мошеннических процессов 24
2.12 Поиск необычных или скрытых файлов 25
2.13 Проверка на наличие неавторизованных точек доступа 26
2.14 Административные “шары” 27
2.15 Проверка заданий, выполняемых службой планировщика 29
2.16 Проверки идентификаторов безопасности (SID) 30
2.17 Файловый аудит и кражи информации 31
2.18 Просмотр результатов поиска и используемых файлов 33
ЗАКЛЮЧЕНИЕ. 34
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАУРЫ 35

Весь текст будет доступен после покупки

В 1981 году начали появляться первые массовые персональные компьютеры. После их появления, в 1993 году, сеть интернет стала общедоступна. С тех пор как электронно-вычислительные машины, так и Всемирная паутина стремительно развивались. Персональные компьютеры на сегодняшний день применяются во всех сферах деятельности.
Развитие технологий привело к появлению нового типа преступлений в сфере компьютерной информации. Киберпреступнось- мастштабная проблема в современном мире. Это привело к тому, что данная тема стала предметом исследования многих российских и зарубежных специалистов.
Каждое действие пользователся за компьютером остается в его памяти. Это приводит к тому, что преступления в сфере компьютеных технологий не остаются незамеченными, всегда остается цифровой след.
Во время расследования инцидента, связанного с компьютерной безопасностью, неподготовленный системный администратор, сотрудник правоохранительных органов или эксперт по компьютерной безопасности может случайно уничтожить ценные доказательства или не обнаружить важные улики незаконной или несанкционированной деятельности.

Весь текст будет доступен после покупки

ГЛАВА 1. Расположение улик на автоматизированном рабочем месте и методы их нахождения.

1.1 Где находятся улики в системах WINDOWS
Прежде чем погрузиться в криминалистический анализ, важно знать, где вы планируете искать доказательства. Расположение будет зависеть от конкретного случая, но в целом улики можно найти в следующих областях:
• Изменчивые данные в структурах ядра
• Свободное пространство, где вы можете получить информацию из ранее удаленных файлов, которые невозможно восстановить.
• Свободное или нераспределенное пространство, где вы можете получить ранее удаленные файлы, включая поврежденные или недоступные кластеры.
• Логическая файловая система
• Журналы событий
• Реестр
• Журналы приложений, не управляемые службой журнала событий Windows.
• Файлы подкачки, содержащие информацию, которая недавно была размещена в системной оперативной памяти (с именем pagefile.sys в активном разделе).
• Специальные файлы приложения, такие как история Internet Explorer (index.dat), fat.db Netscape, файл history.hst и кеш браузера.
• Временные файлы, создаваемые многими приложениями.
• Корзина (скрытая логическая файловая структура, в которой можно найти недавно удаленные элементы)
• Катушка принтера
Во время расследования вам может потребоваться поиск улик в каждой из этих областей, что может оказаться сложным процессом.
1.2 Проведение расследования на WINDOWS ОС
После того, как вы настроили свою рабочую станцию для криминалистического анализа и записали данные низкоуровневого раздела из целевого образа, вы готовы к проведению расследования. Для формального исследования целевой системы требуются следующие основные этапы расследования:
• Просмотрите все соответствующие журналы.
• Выполняйте поиск по ключевым словам.
• Просмотрите соответствующие файлы.
• Выявление неавторизованных учетных записей или групп пользователей.
• Выявление мошеннических процессов и сервисов.
• Ищите необычные или скрытые файлы / каталоги.
• Проверьте наличие неавторизованных точек доступа.
• Изучите задания, выполняемые службой планировщика.
• Проверьте идентификаторы безопасности.
Эти шаги не упорядочены в хронологическом порядке или по важности. Возможно, вам потребуется выполнить каждый из этих шагов или несколько из них. Ваш подход зависит от вашего плана реагирования и обстоятельств инцидента.

Весь текст будет доступен после покупки

1. Федотов Н.Н. Форензика- компьютерная криминалистика:
[учебное пособие] / Издательство «Юридический Мир», 2007.- 187 с.

2. Кэрриер Б. Криминалистический анализ файловых систем:
[учебное пособие] / Издательство «Pearson education», 2005.- 600 с.

3. Пепе М., Лутгенс Д., Казанчиян Р. Реагирование на инциденты и компьютерная криминалистика: [учебное пособие] / Издательство «McGraw-Hill», 2014.- 544 с.

4. Харлан К. Исследование систем Windows: [учебное пособие] / Издательство «Elsevier Science», 2018.- 300 с.

5. Жерар Й. Цифровая криминалистика и реагирование на инциденты: [учебное пособие] / Издательство «Packt Publishing», 2017.- 324 с.

6. Скулкин О. Справочник по криминалистике Windows: [учебное пособие] / Издательство «Packt Publishing», 2017.- 274 с.

Весь текст будет доступен после покупки